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(57) Abstract: The invention relates to a method and a 
corresponding device for generating secret secure keys 
for a cryptographic algorithm. The inventive method 
comprises the following steps: EI) the whole set (IK) 
of possible keys is analyzed; E2) a subset (SK) of keys 
is extracted; E3) the secret keys are generated on the 
basis of the subset of keys. 

(57) Abr^g^ : U invention conceme un proc6d6 et dis- 
positif associe de generation de cles secretes securi- 
sees pour un algorithme ciyptographique.Selon 1* in- 
vention, le proc€d€ comprend les Stapes suivantes :E1 
: analyse de Tensemble (IK) des cl6s possibles ;E2 : 
extraction d*un sous ensemble (SK) de cl6s ;E3 : g6- 
n£ration des c\€s secretes 6 paitir du sous-ensemble de 
cMs. 



g 1 ...THE WHOLE SET OF KEYS IS ANALYZED 
^ 2. .A SUBSET OF KEYS IS EXTRACTED 
5 3...AN ENCODED KEY IS GENERATED 
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PROCEDE DB GENERATION DE CLES SECURISEES POUR 
UN ALGORITHMS CRYPTOGRAPHIQUE 

L' invention conceime un proc6d6 de g^nSration de cles 
5 sScurisSes pour un algorithme cryptographique - L' invention, 
trSs ggnSrale, peut §tre utilis^e pour sScuriser tout 
algorithme cryptographique totalement ou parti el lement cassS. 

Les algorithmes cryptographiques sont le plus souvent 
utilises dans des applications oil I'acces a des donnees ou a 

10 des services est severement controle. Ces algorithmes sont 
notamment utilises dans les cartes a puce pour certaines 
applications de celles-ci. Ce sont par exemple des 
applications d'acces a certaines banques de donnees, des 
applications bancaires, des applications de t61§p6age, par 

15 exemple pour la tSlSvision, la distribution d' essence ou 
encore le passage de phages d'autoroute. Ces algorithmes sont 
6galement utilises dans les cartes dites cartes SIM, pour des 
applications de telephonie mobile. 

Les algorithmes cryptographiques sont ggneralement mis 

20 en oeuvre dans des composants electroniques ayant une 
architecture formee autour d'un microprocesseur et de 
memoires, dont une m^moire non volatile qu± contient la cle 
secrete . 

De manidre gSn^rale et succinte, ces algorithmes ont 
25 pour fonction de calculer un message chiffre a partir de la 
cle secrSte contenue dans la carte et d'un message en clair 
appliquS en entree (du composant) par un systeme hote 
(serveur a distance, distributeur bancaire, etc.), et de 
foumir en retour au systeme hote le message chiffre obtenu. 
30 Ceci permet au systeme hote d' authentif ier le composant avant 
d'Schanger des donnees. Le message chiffr^ est accessible 
depuis I'extSrieur. Cependant, le message clair ne peut etre 
retrouvS sans la connaissance de la cl6 secrete utilisee pour 
obtenir le message chiffrfi. 
35 Les algorithmes cryptographiques les plus connus sont 

les algorithmes DES, AES et RSA. Dans le cadre de la 
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tel6phonie mobile 1 ' algorithms le plus utilise est le 
Compl28. Cette liste n'est bien sQr pas exhaustive. Les 
caracteristiques des algorithmes cryptographiques sont 
suppos6es connues : operations ef features, paramStres 
5 utilises- Seule reste inconnue la cle secrete qui est 
spScifique a chaque composant et qui ne peut Stre d^duite de 
la seule connaissance du message clair et/ou du message 
chif f rfi . 

L' invention peut s'appliquer aussi bien a un algorithme 

10 symetrique (tel que DES ou AES) qu'a un algorithme 
asymetrique (tel que RSA) . On dSsigne par le terme "cle 
secrete" aussi bien la cle unique d'un algorithme symetrique 
que la cle privee d'un algorithme asymetrique. 

Dans le cadre des algorithmes symStriques, la cl6 

15 secrdte est un nombre binaire dont la taille NO depend de 
1' algorithme utilise. Par exemple, 1' algorithme DES utilise 
des cl6s de N0=56 bits, 1' algorithme Compl28 utilise des cles 
de N0=128 bits. Pour un tel algorithme, il existe done un 
ensemble comprenant N=2^° cles possibles. 

20 Au cours d'une phase de personnalisation du composant, 

une cle secrete est generee, qui est ensuite m^morisee dans 
une m^moire non volatile du composant. La generation de cie 
se fait de maniSre connue k partir d'un generateur de nombres 
aieatoires apte S produire des nombres de la taille NO 

25 souhaitee. 

Un composant et 1' algorithme qu' il utilise peuvent etre 
vulnerables a des analyses ayant pour but de "casser" 
1' algorithme, c'est a dire de trouver la cle secrete qu' il 
30 utilise. Une telle action, si elle aboutit, peut avoir des 
consequences graves allant jusqu'au clonage du composant. 

CeBr analyses, du moins celles qui sont connues 
actuellement , sont essentiellement de deux types : la 
cryptanalyse et les attaques a canaux caches (en anglais : 
35 side-channel attacks) . 
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Une cryptanalyse consiste a mener un processus 
mathematique ou statistique n'utilisant que la connaissance 
de I'algorithme et d'une ou plusieurs paires clair/chiffre 
pour retrouver la cl6 secrdte utilisSe par cet algorithme. 
5 Une attaque k canal cache consiste en une analyse simple 

ou dif ferentielle (statistique) d'un pararadtre physique 
specif ique li6 au composant lorsqu'il execute 1 ' algorithme . 
Cette attaque repose sur le fait que la trace (la variation 
du parametre physicjue specif ique, par exemple la consommation 

10 de courant, le rayonnement ^lectromagnetique, etc. ) du 
composant executant des instructions varie en fonction des 
donnees qu' il manipule, et done en fonction de la cle secrete 
utilisSe. En particulier, lorsque le composant execute 
1' algorithme, la trace du composant depend du message clair, 

15 de la cl6 secrete et/ou du message chiffre. A partir de 
mesures de cette trace et d' etudes statistiques de ces 
mesures, il est possible de retrouver la cle secrete. 

Enfin, dans tous les cas de figure, une attaque par 
recherche exhaustive est possible. Elle consiste a rechercher 

2 0 la cle secrete de maniere systematique . Pour cela, a partir 

d'un message clair et d'un message chiffre associ^ connu, 
1' algorithme est execute de manidre systgmatique - avec 
1' ensemble des c1€b, \ine S une, jusqu'S. obtention de la cl6 
secrdte utilis^e. La recherche exhaustive demande un temps 
25 trds irrportant (temps croissant de maniSre exponentielle avec 
la longueur en bits des cl6s) et/ou un materiel 
particulierement performant pour etre menee a terme . 

Contrairement a la recherche exhaustive, la durge d'une 
cryptanalyse ou d'une attaque a canal cache peut dependre de 

3 0 la valeur de la cle secrete. 

La sScurite ou resistance d'un algorithme est sa 
capacite a r^sister k une attaque quelle qu'elle soit et 
quelle que soit la cl6 qu'il utilise. Un algorithme est dit 
sur si le temps n^cessaire pour le casser est prohibitif (de 
35 I'ordre de quelcjues semaines quelques annSes) . 
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La securite d'un algorithme augments fortement avec la 
taille des cles utilisees. En revanche, la s6curit6 d'un 
algorithme diminue dans le temps car les performances des 
mat^riels susceptibles d'etre utilises pour le casser 
5 augmentent, de m§me cjue les connaissances d'fiventuels 
attaguants . 

Des solutions sont connues pour renforcer la securite 
d'un algorithme centre les attaques S canaux caches : elles 
consistent & intervener au niveau de 1 ' implantation de 
10 1' algorithme et a le modifier de sorte que sa trace devienne 
impredictible : par exemple, il est possible d' intervertir 
des etapes du precede de maniere aleatoire, de mSlanger des 
donn^es manipul6es par 1' algorithme avec un ou des paramdtres 
al^atoires, etc, 

15 Ces solutions sont efficaces, Cependant, elles sont plus 

ou moins difficiles a mettre en oeuvre car elles n^cessitent 
de modifier en partie 1 ' iirplantation de 1' algorithme . Ces 
solutions sont ggalement codteuses en termes de temps 
d' execution de 1 ' algorithme, car le plus souvent le nombre 

20 total d' etapes de 1' algorithme est augmente. 

S'il s'avere impossible ou non souhaitable de securiser 
par ces methodes 1' implantation d'un algorithme, il peut §tre 
envisage de remplacer cet algorithme par un algorithme plus 
sdr. Cependant, ce remplacement dans un composant existant 

25 n^cessite de surcrolt de modifier 1 ' infrastructure dans 
laquelle le composant s'inscrit, ce qui peut nScessiter des 
investissements technicjues prohibitifs. 

Au vu des problemes exposes ci-dessus, un but de 
3 0 1' invention est de mettre en oeuvre un precede de 
securisation d'un algorithme cryptographique particulierement 
simple et peu onereux. 

Ainsi 1' invention concerne un proc6d6 de generation de 
clgs secretes s6curis6es pour un algorithme cryptographique, 
35 le precede Stant caracterise en ce qu'il con^rend les Stapes 
suivantes : 
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El : analyse de 1' ensemble (IK) des cles possibles ; 
E2 : extraction d'un sous -ensemble (SK) de cles a partir 
de 1' ensemble (IK) ; 

E3 : generation des clSs secretes t partir du sous- 
5 ensemble (SK) de cl6s. 

L' invention est applicable pour tout algorithms 
caryptographique sensible k au moins une attaque identifiee, 
lorsque ledit algorithms se comporte differemment vis-a-vis 
10 de 1' attaque identifiee selon la valeur de la cle qu'il 
utilise. Cela suppose que les notions de cle forte et de cle 
faible soient pertinentes pour I'attaques identifiee. Une cle 
est dite forte si le temps necessaire, pour ladite cl6, k 
1' about issement de I'attacjue identifiee est prohibitif- Une 
15 cl6 est dite faible dans le cas contraire. 

Selon 1' invention, on genere ainsi des cl6s secrdtes 
parmi un sous-ensemble de cles presSlectionnees pour leur 
resistance a 1' attaque identifiee. On diminue ainsi fortement 
les chances de reussite de cette attaque centre un composant 
20 et/ou un algorithme utilisant de telles cles secretes. 

Au cours de 1 ' etape El d' analyse, on lvalue la force des 
cles de 1' ensemble des cles possibles vis-lL-vis de 1' attaque 
identifies- Puis on classe les clSs de 1' ensemble de cles 
selon un ordre de force dScroissant . 
25 Dans le cas oH plusieurs attaques sont identifiees, on 

determine au cours de 1' etape El la force des cles vis-a-vis 
de chaque attaque identifiee. Ensuite, on determine la force 
resultante d'une cle comme etant le minimum des forces de 
cette cle vis-a-vis de 1' ensemble des attaques identifiees. 
0 Enfin, on classe les cles de 1' ensemble de cles selon un 
ordre de force resultante decroissant. 

Au cours de 1' etape E2 d' extraction d'un sous-ensemble 
de cies, dans le cas oil une seule attaque est identifiee, on 
extrait un nombre de cies suffisant parmi les cies les plus 
5 fortes de 1' ensemble de cies possibles. Selon une premiSre 
varicuite, le nombre de cies extraites est fixe. Selon une 
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autre variante, le nombre de cles extraire est fonction de 
la force moyenne des cles extraites, comme on le verra mieux 
par la suite dans un exemple. 

Au cours de I'etape E2 d' extraction d'un sous -ensemble 
5 de cl6s, dans le cas oil plusieurs attaques sont identifiees, 
on extrait un nombre de cl6s suffisant parmi les cl6s dont 
les forces r^sultantes sont les plus grandes parmi 1' ensemble 
de cl6s possibles- Selon une premidre variante, le nombre de 
cl^s extraites est fix6. Selon une autre variante, le nombre 

10 de cl6s ^ extraire est fonction de la valeur moyenne de la 
force resultante des cles extraites. 

Au cours de I'etape E3 de generation de la cle secrete, 
la cle secrete est choisie alSatoirement parmi le sous- 
ensemble de cl6a. La cl6 ainsi obtenue est m^morisSe 

15 finalement dans une mSmoire non volatile du composant ^ 
personnaliser. 

La cl6 secrdte obtenue selon le procSdS de 1' invention 
est ainsi n^cessairement une cle forte vis-S-vis de I'attaque 
ou des attaques identifiSes. L'attaque identifiee ne donne 

2 0 done pas de resultat si elle est appliquee a un composant 
utilisant ladite cle secrete. Par ailleurs, ladite cle 
secrete ayant ete choisie dans le sous-ensemble de c16g 
comprenant un nombre suffisant de cl6s, une recherche 
exhaustive ne donne pas non plus de rSsultat. 

25 Le precede de 1' invention permet ainsi de genSrer des 

clSs telles que I'attaque identifiee ou la recherche 
exhaustive appliquee sur un composant utilisant la cl6 ne 
peut about ir. 

30 L' invention peut etre appliquee pour la generation de 

cles secretes pour tout algorithme pour lequel au moins une 
attaque possible est identifiee, et pour lequel les cles sont 
plus ou moins sensibles vis-a-vis de I'attaque identifiSe. 
Dans un exetr^le de realisation, 1' invention est appliquee a 

35 1 ' algorithme Compl28 . 
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L' invention et les avantages qui en decoulent 
apparaitront plus clairement ^ la lecture de la description 
qui suit. Un exemple de mise en oeuvre d'un proc6d€ de 
generation de clSs securis6es sera donnS. La description est 
5 a lire en r€f6rence atix dessins annexes dans lesquels : 

- la figure 1 est un schema bloc d'une architecture 
d'un dispositif dans lequel est inplante le procSdS 
de 1 ' invent ion , et 

la figure 2 est un diagramme d'un precede selon 
10 1' invention. 

La figure 1 represente sous forme de schema bloc un 
dispositif elect ronique 1 apte a met t re en oeuvre un proc^dg 
de ggnSration de cl6s selon 1' invention. Dans 1' exemple, le 
dispositif 1 est un lecteur destinS a la personnalisation de 
cartes & puce de type cartes SIM. Le dispositif 1 comprend 
une interface de commxinication 10 et des moyens de calcul 
programmes composes d'une xinite centrale 2 reli6e 
f onctionnellement a un ensemble de memoires dont : 

- une mSmoire 4 accessible en lecture seulement, dans 
1' exemple du type ROM masque, aussi connue sous 
1' appellation anglaise "mask Read-Only Memory (mask 
ROM) " , 

une mSmoire 6 re -programmable electriquement , dans 
1' exemple du type EEPROM (de 1' anglais "electrically 
erasable programmable ROM") , et 

- une m^moire de travail 8 accessible en lecture et en 
ecriture, dans 1' exemple du type RAM (de 1' anglais 
"Random Access Memory") . Cette memoire comprend 
notamment les registres utilises par le dispositif 1. 

Le code executable correspondant au procedS de 
1' invention pour la generation de cle secrete destinee k la 
carte & personnaliser est contenu en memoire programme. Ce 
35 code peut en pratique etre contenu en memoire 4, accessible 
en lecture seulement et/ou en mSmoire 6 reinscriptible . 
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L' unite centrale 2 est reliee a 1' interface de 
communication 10 qui assure I'echange des signaux avec la 
carte a personnaliser et 1 ' alimentation de sa puce. 
L' interface de communication 10 est en contact avec la puce 
5 de la carte 4 personnaliser (non representee sur la figure 1) 
par 1 ' intermSdiaire d'une liaison physique (carte a contact) 
ou d'une liaison radio- frequence (carte sans contact) . 

On suppose dans I'exemple suivant que 1 ' algorithme 
10 utilise est le Compl28. II utilise des cles de taille N0=128 
bits composees de 8 sous-cles de 16 bits. Le nombre total de 
cles possibles pour cet algorithme est done egal a 
N= (2^^) °=2^^® cles possibles. 

II est connu que cet algorithme est sensible a une 
15 cryptanalyse nommee "attaque par collision". Cette attaque 
consiste k trouver des messages clairs distincts fournissant 
un m§me message chiffre. Ce phSnom^ne s'appelle une collision 
et permet de retrouver la valeur d'une sous-cle. Cette 
recherche de collision peut etre repetee jusqu'a obtention de 
0 toutes les 16 sous-cles, c'est a dire 1' obtention de la 
valeur de la cle secrete utilisee. 

Dans la description qui suit, le procede de 1' invention 
produit des cl6s secrdtes securisees contre cette attaque 
identif iSe (attaque par collision) . 

5 

Lors de la mise en oeuvre d'un procSdS de generation de 
cl€a selon 1' invention, on realise (figure 2) les Stapes 
suivantes : 

El : Analyse de 1' ensemble des cles possibles ; 
0 - E2 : Extraction d'un sous-ensemble de cl6s a partir 

dudit ensemble de cles possibles ; 
- E3 : Generation d'une cl6 secrdte k partir du sous- 
ensemble de cles . 
La cl# secrSte gen6r€e peut alors §tre memorisSe dans 
5 une mSmoire non volatile de la carte a personnaliser. Les 
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etapes El et E2 peuvent etre realisees une fois pour toutes . 
L'etape E3 est a repeter pour chaque carte a personnaliser . 

Au cours de I'^tape El, on examine 1' ensemble (IK) des 
5 c16b possibles. En particulier, on §value la force de ces 
cles, c'est a dire 1' effort T(Ki) nScessaire k 
1' about issement de I'attaque considSrSe dans le cas d'une cl6 
Ki- Get effort est determine en fonction des connaissances et 
des performances techniques du materiel disponible que 
10 I'attaquant est suppose avoir. On classe ensuite toutes les 
cles par ordre decroissant de force T(Ki), de sorte que I'on 
ait : 

T(Ki) ^ T(Kj) pour tout i < j- 
La premidre etape El permet ainsi de classer les cl6s 
15 selon leur force et ainsi de distinguer les cles fortes des 
cl6s faibles- L' evaluation de la force des clSs ne nficessite 
pas d'etre effectuSe avec precision. De meme, si la 
distinction entre cl6s fortes et cles faibles est 
primordiale, le classement des cl§s peut ne pas etre fait de 
20 fagon absolument rigoureuse. 

Dans la deuxieme 6tape E2, on extrait de 1' ensemble IK 
des clSs possibles un sous-ensemble SK de cl6s de sorte que : 

- les cles du sous -ensemble SK soient aussi fortes que 
25 possible pour resister k I'attaque identifi^e, et 

- les cles du sous -ensemble SK soient en nombre 
suffisant pour resister k une recherche exhaustive. 

Dans la suite, il est presente une methode pour optimiser 
30 le processus d' extraction du sous-ensemble de cl6s SK d^crit 
dans 1' etape E2 . Neanmoins, une telle optimisation n'est pas 
obligatoire pour tirer benefice de 1' invention. On peut en 
effet extraire un sous-ensemble de cl6s SK arbitraire et non 
optimal contenant suffisament de clSs fortes pour contrer 
35 aussi bien I'attaque identifiee (grSce k la force des cl^s) 
que la recherche exhaustive (grace au nombre de cl^s) . 
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Concr^tement , 1' effort moyen a fournir pour que I'attaque 
identifiee aboutisse est egal a la somme des efforts a 
fournir pour toutes les clSs du sous-ensemble SK divisSe par 
5 le nombre de cl6s du sous -ensemble SK, soit : 

Tl= (1/NS) *ST(Ki) , pour i variant entre 1 et NS, 
NS Stant le nombre d' elements dans le sous-ensemble de 
cl6s SK. 

Par ailleurs, 1' effort & foumir pour mener a son terme 
10 une recherche exhaustive sur la base du sous -ensemble SK de 
cles est egal a : 

T2=NS*T0, 

ou TO est le temps d' execution de 1 ' algorithme . 
Dans la me sure oH un attaquant peut choisir de mener une 
15 recherche exhaustive ou I'attaque identifi6e, 1' effort moyen 
a fournir pour obtenir une clS du sous -ensemble SK est donng 
par la formule : 

T3=Min[Tl;T2] =Min[ (l/NS) *2T(Ki) ;NS*TO] 
Pour durcir 1' algorithme, on cherche a maximiser 1' effort 
20 moyen T3 . Pour cela, on insere des cles dans le sous-ensemble 
SK par ordre decroissant de force T(Ki), jusqu'a ce que le 
nombre de cles dans SK atteigne un nombre NSO optimal. 

La fonction Tl= (l/NS) *ST (Ki) est une fonction 
dScroissante de NS, dans la mesure ou les clSs ins^rSes dans 
25 le sous-ensemble SK ont une force decroissante . Inversement, 
la fonction T2=NS*T0 est \ine fonction croissante, lineaire de 
NS. 

Une etude mathematique rapide permet de montrer que dans 
ce cas, T3 est maximum lorsque T1=T2 . Ceci permet dans le cas 
3 0 general de calculer le nombre NSO optimum de cles a inserer 
dans le sous -ensemble de cles SK selon la relation : 

TO* (NSO) ^=ET (Ki) , pour i variant entre 1 et NSO. 
Au cours de 1 ' etape E3 , on gSn^re ensuite une cl6 secrete 
choisie de maniere aleatoire dans le sous-ensemble de cl6s 
35 obtenu au cours de I'Stape E2 . La cl6 secrete choisie est 
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finalement m^morisee dans lane memoire non volatile du 
composant a personnaliser . 

Dans le cas pratique d'un composant utilisant 
5 1 ' algorithme Compl28, une cle est composSe de 8 sous-clSs de 
16 bits et une cle est forte si et seulement si les 8 sous- 
cl^s sont elles-m§me fortes. 

Au cours de I'Stape El, on analyse les 2^^ sous-cles de 
16 bits et on identifie 769 d'entre elles conime etant des 
10 sous-cles fortes. Ces 769 sous-cles sont celles presentant la 
propriete de ne pas donner lieu aux collisions considerees 
par 1 ' attacjue identif iee . 

L'etape E2 consiste alors k d^finir le sous -ensemble SK 
comme 1' ensemble des cles dont toutes les sous-clSs font 
15 partie de 1' ensemble des 769 sous-cl^s fortes identif iees k 
l'etape El. 

Au cours de l'etape E3, on choisit alSatoirement 8 sous- 
clgs dans le sous-ensemble des 769 sous-cles fortes, pour 
former finalement une cl6 secrete forte. 
2 0 Les 8 sous-cles etant fortes, la cle secrete ainsi 

obtenue est resistante a I'attaque identif i€e (attaque par 
collision) . Par ailleurs, la cl6 secrete obtenue est 
ggalement resistante a une recherche exhaustive car la taille 
du sous-espace SK (dont elle est issue) est 6gale Sl 169^2^'^ . 

25 
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REVBND I CAT IONS 

5 

1. Procede de generation de cl6s secretes securisees 
pour un algorithme cryptographique , faisant face & line 
attaque qui le rend considSre cotnme cassS, comprenant les 
Stapes suivantes : 
10 El : analyse de 1' ensemble (IK) des clSs possibles , 

E2 : extraction d'un sous-ensetnble (SK) de c16b k partir 
de I'ensenible (IK), 

E3 : generation des clSs secrdtes a partir du sous- 
ensemble (SK) de cl63, 
15 procede caracterise en ce que, au cours de I'etape (El) 
d' analyse, on evalue la force des cl6s de 1' ensemble (IK) des 
cles possibles vis-5.-vis d'vme attaque identifiSe, qui rend 
1 ' algorithme inutisable . 

20 2. Precede selon la revendication 1, caracterise en ce 

que, au cours de I'etape (E2) d' extraction d'un sous-ensemble 
(SK) , on extrait de I'ensemble des cles (IK) un nombre 
suffisant de cles fortes vis-a-vis de 1' attaque identifiee. 

25 3. ProcedS selon la revendication 2 caracterise en ce que 

le nombre suffisant (NSO) est fix4. 

4. ProcSdS selon la revendication 3 caractSrisS en ce que 
le nombre suffisant est determine en fonction de la force 
3 0 moyenne des cles du sous-ensemble de cl6s (SK) . 

5- Procede selon la revendication 1 caracterise en ce 
que, face ^ plusieurs attaques identifiges au cours de 
I'Stape (El) d' analyse, on fivalue la force des cl#s de 
35 I'ensemble des cles (IK) vis -S- vis de chacune de ces dites 
attacjues . 
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6. Precede salon la revendication 5 caracterise en ce 
qu'on definit la force resultante d'une cle coirane fitant le 
minimum des forces de ladite cl6 vis-H-vis de toutes lesdites 

5 attagues identifi6es. 

7. ProcSdfi selon I'une quelconque des revendications 1, 5 
ou 6 caract6ris6 en ce que, au cours de I'etape (E2) 
d' extraction d'un sous -ensemble (SK) , on extrait de 

10 1' ensemble des cles (IK) un nombre suffisant de cl6s fortes 
vis-a-vis desdites attaques identifi^es. 

8 . ProcSdS selon la revendication 7 caractSrisS en ce que 
le nombre suffisant (NSO) est fix6. 

15 

9. Proc6d^ selon la revendication 7 caract^risS en ce que 
le nombre suffisant (NSO) est determine en fonction de la 
valeur moyenne des forces resultantes desdites cl^s vis-a-vis 
desdites attaques identifiees. 

20 

10. Precede selon I'une des revendications 1 a 4 
caracterise en ce que, au cours de I'Stape (El) d' analyse, on 
classe ensuite les cles de 1' ensemble de cles (IK) selon un 
ordre de force dScroissant . 

25 

11. Proc6d6 selon I'une quelconque des revendications 1, 
5 a 9 caracteris6 en ce que, au cours de I'etape (El) 
d' analyse, on classe ensuite les cles de 1' ensemble de cl6s 
(IK) selon un ordre de force resultante decroissant. 

30 

12. Dispositif pour la personnalisation d'un composant 
Slectronique par une cl6 secrete, choisie alSatoirement dans 
un sous-ensemble (SK) de cles, caractSrise en ce qu'il 
comprend des moyens programmes (1) pour la mise en oBUvre d'un 

35 precede selon I'une quelconque des revendications 1 a 11, les 
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moyens programmes comprenant notamment une imite centrale 
et line m^moire de programme- 
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